Эксперты раскрыли подробности о вредоносном ПО CozyDuke

image

Теги: CozyDuke, MiniDuke, вредоносное ПО

Сложное вредоносное ПО инфицировало системы Белого дома и Госдепа США.

Эксперты «Лаборатории Касперского»  сообщили  о вредоносной кампании CozyDuke (также известной как CozyBear, CozyCar или Office Monkeys), наибольшая активность которой пришлась на второе полугодие 2014 года. Жертвами вредоносного ПО становились различные организации, однако наиболее значительными из известных на сегодняшний день являются Белый дом и Государственный департамент США.

Среди интересных аспектов, касающихся CozyDuke, исследователи отметили выбор в качестве жертв крупных организаций высокого уровня, а также использование инновационных методов шифрования и обхода обнаружения. Кроме того, функционал и структура вредоносного ПО схожи с компонентами второго этапа ранних версий  MiniDuke  и более современными компонентами  CosmicDuke  и  OnionDuke .

Инфицирование систем жертв происходило через фишинговые электронные письма, содержащие ссылки на взломанный web-сайт. В ряде случаев это был легитимный ресурс (например, diplomacy.pl), на котором размещался ZIP-архив. В свою очередь, в нем содержался RAR SFX-архив, устанавливающий на систему вредоносное ПО и демонстрирующий пустой PDF-документ в качестве приманки.

В других случаях злоумышленники отправляли в электронном письме вложение с поддельным flash-видео. Встроенный исполняемый модуль не только воспроизводил ролик, но также загружал и запускал другой исполняемый модуль CozyDuke. Видео быстро распространялось по корпоративной сети, незаметно инфицируя устройства в фоновом режиме. Некоторые компоненты вредоносного ПО были подписаны поддельными цифровыми сертификатами Intel и AMD.     

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.